csrf攻击ajax,六十六:CSRF攻击与防御之CSRF防御之ajax防御和ajax封装

最新推荐文章于 2023-01-05 17:27:23 发布
最新推荐文章于 2023-01-05 17:27:23 发布
阅读量208 收藏
点赞数
文章标签: csrf攻击ajax

app里面还是要绑定CSRFProtect

acc650d2753b4231cc992c0409fe938f.png

from flask_wtf import CSRFProtect # flask_wtf 已经提供CSRF的防御手段

CSRFProtect(app) # 绑定app

登录页的js

a03be78363fc8e22d197e664c89d74d2.png

$(function () {

$(‘#submit‘).click(function (event) {

event.preventDefault(); // 阻止默认form提交表单行为

var email = $(‘input[name=email]‘).val();

var password = $(‘input[name=password]‘).val();

var csrf_token = $(‘input[name=csrf_token]‘).val();

// ajax

$.post({

‘url‘: ‘/login/‘,

‘data‘: {

‘email‘: email,

‘password‘: password,

‘csrf_token‘: csrf_token

},

‘success‘: function (data) {

console.log(data)

},

‘fail‘: function (error) {

console.log(error)

}

});

});

});

在页面里面引入js

c8ad390856b2aff6cc4c0e284c7f45d5.png

登录
邮箱:
密码:

请求页面

6f4cd8aac83f3583f10b51ce06d3fdec.png

91efb4bfe8d64d2646318c251f814f6a.png

以上方法虽能使用csrf_token防御,可需要在每一个提交页面都写,flask推荐的方式是将csrf_token()放到meta标签下下,发送数据时,放到头部信息中

使用jinja的模板继承功能,base模板:

78bab2c6c4d77745ed02bd4dd1a9215c.png

Title

{% block head %}{% endblock %}

导航条

{% block body %}{% endblock %}

底部

登录页继承base模板

7bf3e2bffece6819696fb2fe15c730dd.png

{% extends ‘base.html‘ %}

{% block head %}

{% endblock %}

{% block body %}

邮箱:
密码:

{% endblock %}

登录页的js,将csrf放到头部信息

93f043a8c1bd108a0e8114fdb727812c.png

$(function () {

$(‘#submit‘).click(function (event) {

event.preventDefault(); // 阻止默认form提交表单行为

var email = $(‘input[name=email]‘).val();

var password = $(‘input[name=password]‘).val();

var csrf_token = $(‘meta[name=csrf_token]‘).attr(‘content‘);

//设置头部信息

$.ajaxSetup({

‘beforeSend‘: function (xhr, settings) {

if(!/^(GET|HEAD|OPTIPNS|TRACE)$/i.test(settings.type) && !this.crossDomain){

xhr.setRequestHeader(‘X-CSRFToken‘, csrf_token)

}

}

});

// ajax

$.post({

‘url‘: ‘/login/‘,

‘data‘: {

‘email‘: email,

‘password‘: password,

},

‘success‘: function (data) {

console.log(data)

},

‘fail‘: function (error) {

console.log(error)

}

});

});

});

访问

8b47bf969dc9a71af1a33ad684a20062.png

由于每个js请求都需要在头部信息里面添加此参数,所以可以将添加头部信息拿出来封装

封装一个统一的ajax,每次自动获取csrftoken并加到头部信息中

c3c46d7f0b28b6a4ac125abe661167bb.png

var http = {

‘get‘:function (args) {

args[‘method‘] = ‘get‘;

this.ajax(args);

},

‘post‘:function (args) {

args[‘method‘] = ‘post‘;

this.ajax(args);

},

‘ajax‘:function (args) { // 将头部信息放到请求

this._ajaxSetup();

$.ajax(args);

},

‘_ajaxSetup‘:function(){ // 将csrftoken放到头部信息

$.ajaxSetup({

‘beforeSend‘: function (xhr, settings) {

if(!/^(GET|HEAD|OPTIPNS|TRACE)$/i.test(settings.type) && !this.crossDomain){

var csrf_token = $(‘meta[name=csrf_token]‘).attr(‘content‘); // 获取csrf_token

xhr.setRequestHeader(‘X-CSRFToken‘, csrf_token)

}

}

});

}

};

登录页的js,使用自定义的ajax机制

692d1c9173214f77c581590bc2f4e9b7.png

$(function () {

$(‘#submit‘).click(function (event) {

event.preventDefault(); // 阻止默认form提交表单行为

var email = $(‘input[name=email]‘).val();

var password = $(‘input[name=password]‘).val();

// 使用自定义的ajax

http.post({

‘url‘: ‘/login/‘,

‘data‘: {

‘email‘: email,

‘password‘: password,

},

‘success‘: function (data) {

console.log(data)

},

‘fail‘: function (error) {

console.log(error)

}

});

});

});

base模板中导入ajax的js

d0ba850c2cee4fda3e4c2f964a3c6e25.png

Title

{% block head %}{% endblock %}

导航条

{% block body %}{% endblock %}

底部

请求

7e25d0acc57203d985bd720b8f6a32c4.png

b9a92e342593a4eda1d135dd21bc41b1.png

8e61337ac858c675b5fcd8657bf178c3.png

这样发送请求的时候使用自己封装的ajax就可以实现每次发送请求的时候自动在头部信息加上csrftoken信息

原文:https://www.cnblogs.com/zhongyehai/p/11872832.html

weixin_39946429
关注
154.Ajax处理csrf防御
zjy123078_zjy的博客
02-22 257
在普通的form表单中采用post请求提交数据,可以在form表单的method=post的form标签下面,添加一个csrf_token标签{% csrf_token %},或者是直接手动的添加一个input标签,<input type=‘text’ name=‘csrfmiddlewaretoken value=’{{ csrf_token }}’>,都可以在form表单中做好cs...
CSRF防御
yun_ld的博客
08-24 2032
上一篇文章介绍什么是CSRFCSRF-跨站请求伪造【Java】。 CSRF通常从第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己网站针对CSRF的防护能力来提升安全性。 上文中讲了CSRF的两个特点: CSRF(通常)发生在第三方域名。 CSRF攻击者不能获取到Cookie等信息,只是使用。 针对这两点,我们可以专门制定防护策略,如下: 阻止不明...
java ajax csrf,切记ajax中要带上AntiForgeryToken防止CSRF攻击
weixin_33212486的博客
03-11 193
经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和 input 中。我们在ajax post中也带上AntiForgeryToken@model WebApplicat...
ajax中加上AntiForgeryToken防止CSRF攻击
weixin_34384915的博客
10-16 277
经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击 在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。 Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和 input 中。 我们在ajax post中也带上AntiForgeryToken   @mo...
csrf攻击ajax,如何在使用ajax post时处理CSRF攻击
weixin_30863465的博客
08-06 147
我基本上想做一个ajax post来发送一些stateId并从那个状态中取回一些城市列表。如何在使用ajax post时处理CSRF攻击?@Html.DropDownList("states", (SelectList)ViewBag.States)@Html.AntiForgeryToken()我不喜欢这样的要求:function PopulateTable() {var x=$("#frmAj...
Django 防御 csrf 攻击的方式(包括ajax请求)
HYESC的博客
07-10 811
csrf攻击简要说明: 用户A现在登录了某银行网站的官网,浏览器记录了该网站生成的记录用户信息的cookie,而后用户A点击了钓鱼网站(该网站和银行网站长的一样),该钓鱼网站内有js代码向银行官网发起转账请求,此时该请求会自动携带记录用户信息的cookie值去访问银行官网进行转账操作,银行网站的后端若没有设置csrf防御机制,仅仅验证用户是否登录,就会认为该转账操作是该用户的合法操作。如果银行网站...
浅析jQuery Ajax通用js封装
10-22
此外,合理的封装还能有效避免潜在的安全风险,如XSS(跨站脚本攻击)和CSRF(跨站请求伪造)等。 11. 测试和验证:文章还提到,封装Ajax类已经过测试验证,可以直接调用。在实际开发中,对封装的代码进行充分的...
csrf java随机数_前后端分离架构下CSRF防御机制
weixin_36454202的博客
02-25 327
背景1、什么是CSRF攻击?这里不再介绍CSRF,已经了解CSRF原理的同学可以直接跳到:“3、前后端分离下有何不同?”。不太了解的同学可以看这两篇对CSRF介绍比较详细的参考文章:如果来不及了解CSRF的原理,可以这么理解:有一个人发给你一个搞(mei)笑(nv)图片链接,你打开这个链接之后,便立刻收到了短信:你的银行里的钱已经转移到这个人的帐户了。2、有哪些防御方案?上面这个例子当然有点危言耸...
axios和ajax使用、axios和ajax区别
m0_70015558的博客
08-03 1045
AJAX 不是新的编程语言,而是一种使用现有标准的新方法。它最大的优点是在不重新加载整个页面的情况下,可以与服务器交换数据并更新部分网页内容。Ajax除了这些参数之外还有好多,比如穿文件、同步还是异步等等,需要的话可以封装上去,但是个人认为那些用的少的,需要用到的时候重新写一个Ajax会更好。axios有请求拦截器和响应拦截器,我们可以在请求前加上全局需要的字段或者是设定动画等等,也可以在响应拦截器里面处理跟后端约定好的各种code。也是使用jQuery封装Ajax,极少使用原生的Ajax。.......
jQuery 封装Ajax
03-23
- 安全性:注意XSS和CSRF攻击,使用正确的编码和验证机制。 在项目中,我们通常会封装自己的Ajax函数,以便更好地组织代码和复用。在提供的文件中,`common_gui.js`可能包含了自定义的Ajax封装,而`jquery.json-2.2...
切记ajax中要带上AntiForgeryToken防止CSRF攻击
12-11
经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击 在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。 Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和 input 中。 我们在ajax post中也带上AntiForgeryToken @model WebApplication1.Controllers.Person @{ ViewBag.Title = "Index"; } <h2>Index</h2> <form id="form1"> <div c
ajax csrf
weixin_30399797的博客
02-09 111
data 里加 csrfmiddlewaretoken:$("[name='csrfmiddlewaretoken']").val(),还要再 form表单里加{% csrf_token %}   或者 如下 ,反正一定要加 <div class="buryit action"> <span class="burynum" id="bury_c...
ASP.NET MVC4/5 - Ajax 防止 CSRF攻击
weixin_30660027的博客
12-24 248
前言 CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。本文使用ASP.NET MVC提供的AntiForgery进行安全验证 应用 一、自定义FilterAttribute过滤器 1 /// <summary&...
CSRFAJAX
最新发布
qq_40229790的博客
01-05 175
CSRFAJAX
csrf攻击ajax,使用ajax帖子时如何处理CSRF攻击
weixin_33654339的博客
08-06 238
我基本上想要发一个ajax帖子来发送一些stateId并从该州获回一些城市列表。@Html.DropDownList("states", (SelectList)ViewBag.States)@Html.AntiForgeryToken()我这样做的请求是:function PopulateTable() {var x=$("#frmAjax").serialize();$.ajax({url: ...
Django中使用Ajax时使用CSRF保护
silent_missile的博客
11-05 878
Django中使用Ajax时使用CSRF保护需要服务器设置CSRF的相关选项。并且在客户端读取特定的信息,然后采用特定的格式发送给服务器才能正确处理。
ajax可以csrf,如何在表单的AJAX发布请求中传递CSRF令牌?
weixin_39644139的博客
08-05 464
小编典典好的,经过几个小时的努力,并尝试解密Play上经常出现的主题上下文文档不足的问题,我明白了。因此,从他们的文档中:为了对非浏览器请求提供简单保护,“播放”仅检查标头中包含Cookie的请求。如果使用AJAX发出请求,则可以将CSRF令牌放在HTML页面中,然后使用Csrf-Token标题将其添加到请求中。然后没有代码或示例。谢谢玩。非常具有描述性。无论如何,这是如何:在你的view.htm...
ajax防止csrf攻击,ASP.NET MVC ajax提交 防止CSRF攻击
weixin_42126749的博客
08-06 194
//在View中@functions{public string ToKenHeaderValue(){string cookieToken,fromToken;AntiForgery.GetTokens(null,out cookieToken,out fromToken);return cookieToken+":"+fromToken;}}$function({......$.ajax("...
ajax可以csrf,ajax处理csrf的三种方式
weixin_39530509的博客
08-05 422
方式一:$.post({url: '/get_result/',data: {value0: $('#v1').val(),value1: $('#v2').val(),csrfmiddlewaretoken: '{{ csrf_token }}'},success: function (data) {if (data) {$('#v3').val(data);swal("操作成功!", "成功算...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值